安全公司卡巴斯基发出警告,称一种针对加密货币用户的新型恶意软件正通过软件托管网站SourceForge传播。该公司在近期发布的一份报告中指出,该网站上的一个名为“Office Package”的软件项目包含一种针对加密货币用户的地址投毒恶意软件。.
根据报告,该 Office 套件软件是一个包含 Microsoft Office 加载项的合法项目。然而,深入调查后发现,该软件包包含指向其他 URL 的下载链接,因此存在更多问题。.
上面写着:
“被调查的项目已被分配了域名 officepackage.sourceforge[.]io,但访问该域名时显示的页面与 sourceforge.net 上的 officepackage 页面完全不同。”
有趣的是,恶意软件的下载过程相当复杂,用户需要访问三个不同的URL才能下载文件。这种复杂的过程似乎是为了诱使用户误以为自己下载的是正版应用程序。.
卡巴斯基安全专家指出,最终的安装文件是 installer.msi,这是一个 700 兆字节的文件,恶意分子将其体积放大,使其看起来像是一个真正的软件安装程序。去除无用字节后,其真实大小为 7 兆字节。.
用户运行安装程序后,会在不知不觉中将两个恶意应用程序安装到设备上:一个挖矿程序和一个 ClipBanker。ClipBanker 会通过将用户复制到剪贴板的加密货币地址替换为攻击者的地址,从而进行地址投毒,导致用户将资金发送到错误的地址。.
安全专家写道:
“此次攻击活动中的关键恶意行为归根结底是运行两个 AutoIt 脚本。Icon.dll 会重启 AutoIt 解释器并向其中注入挖矿程序,而 Kape.dll 则执行相同的操作,但注入的是 ClipBanker。”
与此同时,他们还指出,此次攻击主要针对俄罗斯目标。证据包括 officepackage.sourceforge[.]io 网站的俄语界面,以及在1月至3月下旬期间遭遇恶意软件的4604名用户中,90%是俄罗斯用户。.
地址投毒诈骗案日益增多
卡巴斯基的这份报告与多家区块链安全公司报告的近期加密货币用户地址投毒攻击激增的趋势相吻合。根据 Scam Sniffer 的数据,3 月份第三大网络钓鱼dent 就是由地址投毒造成的。.
Cyvers公司还报告称,3月份前三周,地址投毒诈骗造成的损失超过120万美元,加上2月份的180万美元,损失总额进一步增加。该公司表示,其人工智能威胁检测系统dent出地址投毒攻击有所增加。.
虽然大多数地址投毒攻击都是攻击者手动向受害者发送小额交易,使用的地址与受害者经常使用的地址相似,但使用复杂的恶意软件允许攻击者从剪贴板更改地址,这表明不法分子是如何不断演变的。.
安全专家认为,解决此问题的首要方案是用户避免从不可信来源下载软件。他们指出,不法分子通常会利用非官方软件网站传播恶意应用程序,使用此类网站的用户必须意识到这种风险。.
然而,他们指出,这种恶意软件带来的问题更大,因为它为攻击者提供了一种巧妙的途径来入侵受感染的系统。因此,其制造者有可能决定将其用途扩展到加密货币用户之外,并开始将其出售给更危险的恶意行为者。.
